CN113849796B - 智信水务物联网远程监测控制方法、***及区块链*** - Google Patents
智信水务物联网远程监测控制方法、***及区块链*** Download PDFInfo
- Publication number
- CN113849796B CN113849796B CN202111437167.0A CN202111437167A CN113849796B CN 113849796 B CN113849796 B CN 113849796B CN 202111437167 A CN202111437167 A CN 202111437167A CN 113849796 B CN113849796 B CN 113849796B
- Authority
- CN
- China
- Prior art keywords
- equipment
- information
- user
- verification
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种智信水务物联网远程监测控制方法、***及区块链***,本申请利用分布式节点解决水务监测控制全流程中水务数据不流通,数据孤岛的现象,为水务数据追溯搭建技术基础。利用时间戳解决追溯过程中的时间追溯问题。利用智能合约解决水务设备的权限管理问题,维护敏感信息的隐私权限。利用区块链底层平台不可篡改的特性保证全***运行的水务数据真实可信,能够极大的解决现有技术中未对用户端和水务设备进行唯一性标识,导致水务设备被恶意操控以及水务数据被恶意篡改的问题。
Description
技术领域
本发明涉及水务监测技术领域,特别涉及一种智信水务物联网远程监测控制方法、***及区块链***。
背景技术
现有的水务远程监测***通常基于云的中心化管理***,各供水单位将所辖区域内的设备运转信息和供水情况传输给水务控制中心,控制中心通过远程监控掌握供水全景,在发现异常时通过点对点人工回传的方式发送指令。
但现有的水务远程监测***仍存在不少问题,第一,所辖区域内的设备仅通过设备出厂编号作为唯一标识,可信度较低,设备信息易篡改;第二,水务数据的传输是通过互联网、wifi或蓝牙等方式进行,由于通信信道存在安全漏洞,传输数据一旦中途被恶意截取和篡改,控制中心将无法得到真实的数据,且因为缺少第三方进行监管,一旦水务数据被恶意篡改难以恢复;第三,控制中心未对用户端进行有效核验,一旦用户账号信息丢失,就会导致设备容易被恶意操控,严重时会导致整个水务网络的瘫痪。
为了解决上述问题,现有技术中,对水务远程监测***加入了助记词校验用户身份、增加协作单位等形式。然而,仅采用助记词这种未加密的私钥,并不具有较高的安全性,一旦他人知晓用户的助记词,就会瞬间夺走用户的资产;协作的各个单位间之间仍然存在相互不信任的问题,在实际应用场景下,仍然不能解决多方协作调度水资源的问题。
发明内容
本申请提供了一种智信水务物联网远程监测控制方法及***,以解决现有技术中未对用户端和水务设备进行唯一性标识,导致水务设备被恶意操控以及水务数据被恶意篡改的问题。
第一方面,本申请提供了一种智信水务物联网远程监测控制方法,应用于由用户端、水务物联网设备端以及水务联盟链底层平台构成的***,所述水务联盟链底层平台配置有可信身份认证模块、可信设备认证模块以及操作权限配置模块;所述方法包括:
用户端向可信身份认证模块发送认证请求;所述认证请求包括用户身份信息及用户人脸数据;
可信身份认证模块对所述认证请求进行认证,若认证通过,则向用户端发送输入助记词的请求,再次接收用户端返回的助记词后,将用户身份信息、用户人脸数据以及用户输入的助记词生成可信身份信息上链存储;
可信设备认证模块从水务物联网设备端获取设备指纹信息,并将设备指纹信息上链存储;所述设备指纹信息包括PUF电路信息以及设备基本信息;
操作权限配置模块提取区块链上存储的可信身份信息和设备指纹信息,生成用于控制不同用户对不同设备的访问次数、访问场景、操作权限的智能合约,同时建立标识可信身份和可信设备之间对应关系的关联表;
当***接收任意用户发送的申请访问或控制设备的请求时,触发所述智能合约,验证所述请求,若验证通过允许用户访问或控制设备,并在访问或控制结束后,将过程数据上链;所述过程数据包括用户信息、设备信息、访问信息、操作信息以及时间戳。
在一些实施例中,所述水务联盟链底层平台还配置有监管模块,所述方法还包括:
监管模块实时获取水务物联网设备端对应设备的运行状态,并将设备运行过程中的历史信息上链存储;所述运行状态包括开启、关停或设备失联;所述历史信息包括被访问信息、设备资源占用信息以及历史数据。
在一些实施例中,所述水务联盟链底层平台还配置有自动核验与处理模块,所述方法还包括:
当监管模块获取的设备运行状态为设备失联时,监管模块调用自动核验与处理模块,核验该设备对应的存储在区块链中的设备指纹信息,以及,核验该设备对应的存储在区块链中的历史信息,若核验通过,则恢复设备正常运行。
在一些实施例中,所述水务联盟链底层平台还配置有人工核验与处理模块,所述方法还包括:
若核验未通过,则获取人工核验与处理模块对于该设备的核验结果;若核验结果为通过,则核验结果中包括核验者的人员信息及签名;若核验结果为未通过,则将该设备所在节点加入节点黑名单。
在一些实施例中,所述水务联盟链底层平台还配置有操作记录回溯模块,所述方法还包括:
监管模块记录水务物联网设备端对应设备在预设时长内的被访问次数以及开启关停次数,若被访问次数与开启关停次数的至少一项超过预设阈值,则生成预警信息;
操作记录回溯模块根据所述预警信息,调取区块链中存储的与设备对应的设备指纹信息以及过程数据,生成追溯结果;
操作记录回溯模块将追溯结果、追溯人员信息以及追溯次数上链存储。
在一些实施例中,用户发送的申请访问或控制设备的请求中包括操作类型,触发所述智能合约验证所述请求的步骤包括:
根据请求中的操作类型,选择与操作类型对应的校验方式;所述校验方式包括强校验和弱校验;
若所述校验方式为强校验,则获取实时用户人脸数据、用户输入的助记词与区块链中存储的与用户身份信息对应的用户人脸数据、助记词比对,得到比对结果;
若所述校验方式为弱校验,则获取用户输入的助记词与区块链中存储的与用户身份信息对应的助记词比对,得到比对结果。
在一些实施例中,可信身份认证模块对所述认证请求进行认证通过后,向用户端发送数字证书,同时将数字证书的颁发记录上链存储。
在一些实施例中,所述方法还包括:
监管模块定期获取所有设备的硬件指纹信息;
将硬件指纹信息与区块链中存储的对应硬件指纹信息比对,若比对不通过,则生成警告信息和隔离信息;
根据隔离信息发起区块链所有节点的共识操作,若共识成功,则对该设备执行强制隔离。
第二方面,本申请提供了一种智信水务物联网远程监测控制***,由用户端、水务物联网设备端以及水务联盟链底层平台构成,所述水务联盟链底层平台配置有可信身份认证模块、可信设备认证模块以及操作权限配置模块;
所述用户端被配置为向可信身份认证模块发送认证请求;所述认证请求包括用户身份信息及用户人脸数据;
所述可信身份认证模块被配置为对所述认证请求进行认证,若认证通过,则向用户端发送输入助记词的请求,再次接收用户端返回的助记词后,将用户身份信息、用户人脸数据以及用户输入的助记词生成可信身份信息上链存储;
所述可信设备认证模块被配置为从水务物联网设备端获取设备指纹信息,并将设备指纹信息上链存储;所述设备指纹信息包括PUF电路信息以及设备基本信息;
所述操作权限配置模块被配置为提取区块链上存储的可信身份信息和设备指纹信息,生成用于控制不同用户对不同设备的访问次数、访问场景、操作权限的智能合约,同时建立标识可信身份和可信设备之间对应关系的关联表;
当***接收任意用户发送的申请访问或控制设备的请求时,触发所述智能合约,验证所述请求,若验证通过允许用户访问或控制设备,并在访问或控制结束后,将过程数据上链;所述过程数据包括用户信息、设备信息、访问信息、操作信息以及时间戳。
第三方面,本申请提供了一种区块链***,由用户端、水务物联网设备、可信身份认证节点、可信设备认证节点、操作权限配置节点、监管节点、人工核验与处理节点、操作记录回溯节点、自动核验与处理节点构成的区块链网络,所述区块链网络被配置为执行第一方面所述的方法。
由上述技术方案可知,本申请利用分布式节点解决水务监测控制全流程中水务数据不流通,数据孤岛的现象,为水务数据追溯搭建技术基础。利用时间戳解决追溯过程中的时间追溯问题。利用智能合约解决水务设备的权限管理问题,维护敏感信息的隐私权限。利用区块链底层平台不可篡改的特性保证全***运行的水务数据真实可信,能够极大的解决现有技术中未对用户端和水务设备进行唯一性标识,导致水务设备被恶意操控以及水务数据被恶意篡改的问题。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种智信水务物联网远程监测控制方法的应用场景图;
图2为本申请提供的一种智信水务物联网远程监测控制方法的流程图;
图3为本申请提供的方法中模块间的关系示意图。
具体实施方式
参见图1,为本申请所提供的一种智信水务物联网远程监测控制方法的应用场景图;
由图1可知,在本申请提供的方法应用于由用户端、水务物联网设备端以及水务联盟链底层平台构成的***,所述水务联盟链底层平台配置有可信身份认证模块、可信设备认证模块、操作权限配置模块以及各种实现其它功能的模块,也可理解为,水务联盟链底层平台是由实现各种功能的节点(如可信身份认证节点等)构成的;需要说明的是,在本申请的***中,各个节点所有的数据均需要经过共识机制后上链存储,即通过联盟链/区块链的属性来保证***中身份信息、文件信息、设备信息、操作记录、追溯信息等水务物联网监测与控制全流程信息不可篡改、安全性与可追溯性。
在实际应用场景中,可信身份认证节点可以是政府统一身份认证机构;可信设备认证节点可以是某水务相关单位的设备管理科;操作权限配置节点可以是各级水务控制中心;监管节点可以是水利局、住建局等管理机构;人工核验与处理节点可以是维修科;操作记录回溯节点可以是稽查科;自动核验与处理节点可以是一台自动控制的服务器。
基于上述应用场景,由图2和图3所示,本申请的方法步骤包括:
S100:用户端向可信身份认证模块发送认证请求;所述认证请求包括用户身份信息及用户人脸数据;
在本实施例中,用户端并非仅限于一个,应当理解为,任意一个用户均能通过联盟链中的可信身份认证节点发送认证请求,同一时间的请求可能有多个,对于每个认证请求均可按照本申请中的方法并行处理。其中,用户身份信息是指用于表示用户身份的数据,例如用户姓名、身份证号、所属单位信息、工号等等,除了基本信息,为了增加唯一性,认证请求中还要加入用户人脸数据,人脸数据相比于文字信息更具有安全性。
S200:可信身份认证模块对所述认证请求进行认证,若认证通过,则向用户端发送输入助记词的请求,再次接收用户端返回的助记词后,将用户身份信息、用户人脸数据以及用户输入的助记词生成可信身份信息上链存储;
助记词是明文私钥的另一种表现形式, 最早是由 BIP39 提案提出, 其目的是为了帮助用户记忆复杂的私钥 (64位的哈希值)。助记词在本实施例中所起的作用与现有技术类似,可以针对一些场景下,通过用户输入助记词来校验其身份,给予一定的操作权限。
进一步的,在步骤S200中认证通过后,可信身份认证模块可以向用户端发送数字证书,同时将数字证书的颁发记录上链存储。数字证书标识的该用户具有申请访问***或控制设备请求的资格,相对应的,当某一个用户申请访问或控制某设备时,可以先查看其是否有数字证书,并通过区块链上存储的数字证书来验证真实性,如果真实再允许其它操作。
由于在本申请中上链存储的信息既包括用户基本信息、又包括助记词、还包括用户人脸数据,使得对于不同的操作需求,可以采用不同的验证方式,例如:对于核心设备关停的关键操作时,可以强制要求经过用户人脸数据核验通过后才能进行,而对于文件流转等高频、常规的操作,可以不需要人脸认证,仅需要助记词验证即可进行。
S300:可信设备认证模块从水务物联网设备端获取设备指纹信息,并将设备指纹信息上链存储;所述设备指纹信息包括PUF电路信息以及设备基本信息;
本申请中,引用设备指纹技术,在水务物联网设备芯片中植入物理不可克隆的PUF电路,生成具有唯一标识的设备指纹信息,并写入区块链。除了PUF电路信息,上链的信息还包括设备名称、设备编号等其它设备基本信息,用于标识设备。
S400:操作权限配置模块提取区块链上存储的可信身份信息和设备指纹信息,生成用于控制不同用户对不同设备的访问次数、访问场景、操作权限的智能合约,同时建立标识可信身份和可信设备之间对应关系的关联表;
由于不同用户具有对于不同设备的操作控制权限,例如用户甲具有控制设备A/B的权限、用户乙具有控制设备B/C/D的权限;同一用户对于不同设备的权限也可能存在不同,例如用户甲可以访问设备A十次,并不可以访问设备C,可以控制设备B五次等等,步骤S400中所建立的关联表中将显示任意一个用户与各个设备之间的对应关系,这样,当用户A发起某一项请求后,操作权限配置模块立即可以根据关联表得出不限于以下结果:用户A能够访问的设备有哪些,用户A能够控制的设备有哪些,用户A能够访问/控制某一个设备的次数,用户A在什么场景下可以访问某一个设备,用户A可以执行哪些操作等等。
由于关联表是根据区块链上存储的可信身份信息和设备指纹信息生成,因此关联表本身也具备不可篡改、各节点共识的特征,并且关联表中的信息应当是对应与***各节点所有上链的信息,一旦关联表建立,后续就可以通过智能合约自动调用关联表,完成任意用户发出的访问或控制设备请求。
S500:当***接收任意用户发送的申请访问或控制设备的请求时,触发所述智能合约,验证所述请求,若验证通过允许用户访问或控制设备,并在访问或控制结束后,将过程数据上链;所述过程数据包括用户信息、设备信息、访问信息、操作信息以及时间戳。
其中,时间戳能够证明某个数据在某个时间点就已经完整存在了。时间戳在区块链中与密码学相关的工作原理是节点会先对区块中的信息进行哈希加密生成一个信息摘要也就是哈希值。提取该哈希值以及数据的时间信息并进行二次加密即生成时间戳。最后,返回到***之中。这样做能够提高时间的不可篡改性和防伪的作用。具体在本实施例中,由于每次访问或控制设备均具有唯一的时间点,对于每个操作产生的数据,采用对应的时间戳上链存储,可以保证数据唯一并且不可篡改,利用后续的数据追溯。
进一步的,在步骤S500验证请求时,由于可以根据不同的操作类型相应采用不同的验证方式,因此,步骤S500可分解为下列步骤,当用户发送的申请访问或控制设备的请求中包括操作类型时:
先根据请求中的操作类型,选择与操作类型对应的校验方式;所述校验方式包括强校验和弱校验;这里的操作类型是指前述的对核心设备的关停操作、对于水质、水压监测等高频、常规操作等,分别执行强校验或弱校验。
若所述校验方式为强校验,则获取实时用户人脸数据、用户输入的助记词与区块链中存储的与用户身份信息对应的用户人脸数据、助记词比对,得到比对结果;这种情况下,涉及关键操作时,即使用户的助记词丢失或泄露,也不能让其它人执行该项操作,相比与仅依靠助记词的验证方式,多了一层安全性保障。
若所述校验方式为弱校验,则获取用户输入的助记词与区块链中存储的与用户身份信息对应的助记词比对,得到比对结果。对于重要性不高的场景,利用最简单快速的验证方式能有效提高操作效率。
进一步的,在一些可行性实施例中,为了监控整个区块链/联盟链网络,本申请的所述水务联盟链底层平台还配置有监管模块,在执行本申请方法的过程中,监管模块被配置为执行下述方法:
监管模块实时获取水务物联网设备端对应设备的运行状态,并将设备运行过程中的历史信息上链存储;所述运行状态包括开启、关停或设备失联;所述历史信息包括被访问信息、设备资源占用信息以及历史数据。
在***运行过程中,设备所在节点可能出现无法被区块链网络识别到的情况,即设备失联,为了解决这一问题,监管模块可以随时监测设备运行状态,当发生失联时,可根据水务联盟链底层平台配置的自动核验与处理模块执行下述方法:
当监管模块获取的设备运行状态为设备失联,说明此时设备脱离区块链网络的监控,可以通过重连来恢复区块链网络的监控,重连时,监管模块调用自动核验与处理模块,核验该设备对应的存储在区块链中的设备指纹信息,以及,核验该设备对应的存储在区块链中的历史信息,若核验通过,则允许设备重新加入。其中,核验历史信息包括校验该节点设备资源占有量、历史数据等,若各项数据均合格,则可以执行失联后重连的操作,恢复至失联之前的状态。
在本实施例中,由于PUF只能确保芯片唯一,但并不能从根本上避免设备被更换,因此当设备掉线/节点失联时,通过设立多级校验机制,除了要对硬件指纹进行校验,还要对设备资源占有量(如CPU、内存、磁盘等)等历史情况一并校验,避免上述现象的发生。
进一步的,若自动核验与处理模块执行的上述核验未通过,则还可以通过配置的人工核验与处理模块执行人工校验的方法:
获取人工核验与处理模块对于该设备的核验结果;若核验结果为通过,则核验结果中包括核验者的人员信息及签名;若核验结果为未通过,则将该设备所在节点加入节点黑名单。具体的,人工核验设备是否被恶意替换,核验不通过立刻隔离。亦或是其他原因导致自动核验不通过(硬件指纹读取模块出错,设备部分磁盘被合理格式化等),可采用人工判断该节点能否重新加入,并将核验人员的身份信息与核验结果、处理结果打包上链。
进一步的,所述水务联盟链底层平台还配置有操作记录回溯模块,所述方法还包括:
监管模块具有监控设备访问和操作异常情况的功能,可以记录水务物联网设备端对应设备在预设时长内的被访问次数以及开启关停次数,若被访问次数与开启关停次数的至少一项超过预设阈值,则生成预警信息;例如,监管模块在一分钟内监测某设备连续被开启关停四次,超过了一分钟内不能超过两次的预设阈值,就可认定操作异常,此时可生成预警信息提示操作人员立即查看异常发生原因。
操作记录回溯模块根据所述预警信息,调取区块链中存储的与设备对应的设备指纹信息以及过程数据,生成追溯结果;由于各项数据之前均已上链,因此可通过设备指纹哈希和时间戳追溯某时间段内该设备相关的操作记录,分析异常产生原因,并将异常追溯和处理结果上链存储。此时需要上链存储的数据不限于包括追溯结果、追溯人员信息以及追溯次数等。
进一步的,所述方法还包括:
监管模块定期获取所有设备的硬件指纹信息;如节点调用区块链中相应的智能合约获取设备A的硬件信息并形成硬件指纹;
将硬件指纹信息与区块链中存储的对应硬件指纹信息比对,若比对不通过,则生成警告信息和隔离信息;
根据隔离信息发起区块链所有节点的共识操作,若共识成功,则对该设备执行强制隔离。
上述实施例相当于增加了设备硬件指纹的校验频次,不仅仅在节点失联后重连的场景校验硬件指纹,而是定期检查所有设备指纹,并采取强制隔离操作,进一步预防违规设备的接入,在这种情况下,水务联盟链底层平台中就可以不设人工核验模块,降低人力成本。
需要注意的是,上述实施例和具有人工核验模块的实施例均为本申请的两种可行性实施例,两种方式各有利弊,分别应用于不同需求的场景中,前述方案考虑的异常场景更全面但耗费人力;上述实施例的方案虽释放人力但没有人力核验准确性高,存在误判可能,灵活性稍弱。
由上述技术方案可知,本申请提供的方法利用智能合约解决水务设备的权限管理问题,维护敏感信息的隐私权限。利用区块链底层平台不可篡改的特性保证全***运行的水务数据真实可信,能够极大的解决现有技术中未对用户端和水务设备进行唯一性标识,导致水务设备被恶意操控以及水务数据被恶意篡改的问题。
本申请聚焦水务远程监测与控制场景,水务控制中心(省/市/区中心)往往距离供水单位(远郊)较远,单线远距离传输更容易出现信息传输安全问题,且时滞性较大。本方案能够通过分布式架构部署确保通信信道传输安全,提高网络的抗攻击能力,即便某节点被恶意攻击,仍然无法篡改数据,确保控制中心与供水单位均受到未经篡改的原始数据。
传统的技术方法多采用人工核验方式核查用户提供的基础信息,且一次核验通过即可,后续区块链网络只需要核验该用户的存储在链上的身份信息和助记词是否匹配,这种方式存在的漏洞是一旦身份信息和助记词被泄露,仍然无法避免违规操作发生。本方案通过设置强检验和弱校验两种核验身份的方式(强校验:人脸+助记词;弱校验:助记词),确保关键操作强制通过人脸核验方式,近一步确保身份信息可靠。同时,每次设备访问或控制记录实时上链。
本申请能够防止设备在掉线重连时被替换,采用自动核验和人工核验两级核验机制;对设备访问次数或***作次数的监控,支持根据设备指纹哈希进行追溯。通过将水务设备资产信息上链、严格控制访问与操作权限、支持追溯、多维度监管,确保水务资产可信、可控、可回溯,能够有效避免国有水务资产流失。
需要说明的是,本方案设备核验的对象特指自身具有数据存储能力的设备,如数据采集仪等自身有内存的设备;对于结构过于简单的传感器,可以通过服务器链接至区块链网络,即产生的数据由对应的服务器保存,只需要校验设备指纹。如果设备本身没有芯片没有存储空间,只是单纯检测,不在本方案考虑范围之内。
对应于上述方法,本申请还提供了一种应用上述方法的智信水务物联网远程监测控制***,所述***由用户端、水务物联网设备端以及水务联盟链底层平台构成,所述水务联盟链底层平台配置有可信身份认证模块、可信设备认证模块以及操作权限配置模块;
所述用户端被配置为向可信身份认证模块发送认证请求;所述认证请求包括用户身份信息及用户人脸数据;
所述可信身份认证模块被配置为对所述认证请求进行认证,若认证通过,则向用户端发送输入助记词的请求,再次接收用户端返回的助记词后,将用户身份信息、用户人脸数据以及用户输入的助记词生成可信身份信息上链存储;
所述可信设备认证模块被配置为从水务物联网设备端获取设备指纹信息,并将设备指纹信息上链存储;所述设备指纹信息包括PUF电路信息以及设备基本信息;
所述操作权限配置模块被配置为提取区块链上存储的可信身份信息和设备指纹信息,生成用于控制不同用户对不同设备的访问次数、访问场景、操作权限的智能合约,同时建立标识可信身份和可信设备之间对应关系的关联表;
当***接收任意用户发送的申请访问或控制设备的请求时,触发所述智能合约,验证所述请求,若验证通过允许用户访问或控制设备,并在访问或控制结束后,将过程数据上链;所述过程数据包括用户信息、设备信息、访问信息、操作信息以及时间戳。
上述***中在应用前述方法时的作用效果可参见前述方法实施例中的说明,在此不再赘述。
本申请还提供了一种区块链***,包括由用户端、水务物联网设备、可信身份认证节点、可信设备认证节点、操作权限配置节点、监管节点、人工核验与处理节点、操作记录回溯节点、自动核验与处理节点构成的区块链网络,所述区块链网络被配置为执行上述的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由本申请的权利要求指出。
Claims (9)
1.一种智信水务物联网远程监测控制方法,应用于由用户端、水务物联网设备端以及水务联盟链底层平台构成的***,所述水务联盟链底层平台配置有可信身份认证模块、可信设备认证模块以及操作权限配置模块;其特征在于,所述方法包括:
用户端向可信身份认证模块发送认证请求;所述认证请求包括用户身份信息及用户人脸数据;
可信身份认证模块对所述认证请求进行认证,若认证通过,则向用户端发送输入助记词的请求,再次接收用户端返回的助记词后,将用户身份信息、用户人脸数据以及用户输入的助记词生成可信身份信息上链存储;
可信设备认证模块从水务物联网设备端获取设备指纹信息,并将设备指纹信息上链存储;所述设备指纹信息包括PUF电路信息以及设备基本信息;所述设备基本信息包括设备名称、设备编号;
操作权限配置模块提取区块链上存储的可信身份信息和设备指纹信息,生成用于控制不同用户对不同设备的访问次数、访问场景、操作权限的智能合约,同时建立标识可信身份和可信设备之间对应关系的关联表;
当***接收任意用户发送的申请访问或控制设备的请求时,触发所述智能合约,验证所述请求,若验证通过允许用户访问或控制设备,并在访问或控制结束后,将过程数据上链;所述过程数据包括用户信息、设备信息、访问信息、操作信息以及时间戳;
所述触发所述智能合约,验证所述请求的步骤包括:根据请求中的操作类型,选择与操作类型对应的校验方式;所述校验方式包括强校验和弱校验;
若所述校验方式为强校验,则获取实时用户人脸数据、用户输入的助记词与区块链中存储的与用户身份信息对应的用户人脸数据、助记词比对,得到比对结果;
若所述校验方式为弱校验,则获取用户输入的助记词与区块链中存储的与用户身份信息对应的助记词比对,得到比对结果。
2.根据权利要求1所述的一种智信水务物联网远程监测控制方法,其特征在于,所述水务联盟链底层平台还配置有监管模块,所述方法还包括:
监管模块实时获取水务物联网设备端对应设备的运行状态,并将设备运行过程中的历史信息上链存储;所述运行状态包括开启、关停或设备失联;所述历史信息包括被访问信息、设备资源占用信息以及历史数据。
3.根据权利要求2所述的一种智信水务物联网远程监测控制方法,其特征在于,所述水务联盟链底层平台还配置有自动核验与处理模块,所述方法还包括:
当监管模块获取的设备运行状态为设备失联时,监管模块调用自动核验与处理模块,核验该设备对应的存储在区块链中的设备指纹信息,以及,核验该设备对应的存储在区块链中的历史信息,若核验通过,则恢复设备正常运行。
4.根据权利要求3所述的一种智信水务物联网远程监测控制方法,其特征在于,所述水务联盟链底层平台还配置有人工核验与处理模块,所述方法还包括:
若核验未通过,则获取人工核验与处理模块对于该设备的核验结果;若核验结果为通过,则核验结果中包括核验者的人员信息及签名;若核验结果为未通过,则将该设备所在节点加入节点黑名单。
5.根据权利要求2所述的一种智信水务物联网远程监测控制方法,其特征在于,所述水务联盟链底层平台还配置有操作记录回溯模块,所述方法还包括:
监管模块记录水务物联网设备端对应设备在预设时长内的被访问次数以及开启关停次数,若被访问次数与开启关停次数的至少一项超过预设阈值,则生成预警信息;
操作记录回溯模块根据所述预警信息,调取区块链中存储的与设备对应的设备指纹信息以及过程数据,生成追溯结果;
操作记录回溯模块将追溯结果、追溯人员信息以及追溯次数上链存储。
6.根据权利要求1所述的一种智信水务物联网远程监测控制方法,其特征在于,可信身份认证模块对所述认证请求进行认证通过后,向用户端发送数字证书,同时将数字证书的颁发记录上链存储。
7.根据权利要求1所述的一种智信水务物联网远程监测控制方法,其特征在于,所述方法还包括:
监管模块定期获取所有设备的硬件指纹信息;
将硬件指纹信息与区块链中存储的对应硬件指纹信息比对,若比对不通过,则生成警告信息和隔离信息;
根据隔离信息发起区块链所有节点的共识操作,若共识成功,则对该设备执行强制隔离。
8.一种智信水务物联网远程监测控制***,其特征在于,所述***由用户端、水务物联网设备端以及水务联盟链底层平台构成,所述水务联盟链底层平台配置有可信身份认证模块、可信设备认证模块以及操作权限配置模块;
所述用户端被配置为向可信身份认证模块发送认证请求;所述认证请求包括用户身份信息及用户人脸数据;
所述可信身份认证模块被配置为对所述认证请求进行认证,若认证通过,则向用户端发送输入助记词的请求,再次接收用户端返回的助记词后,将用户身份信息、用户人脸数据以及用户输入的助记词生成可信身份信息上链存储;
所述可信设备认证模块被配置为从水务物联网设备端获取设备指纹信息,并将设备指纹信息上链存储;所述设备指纹信息包括PUF电路信息以及设备基本信息;所述设备基本信息包括设备名称、设备编号;
所述操作权限配置模块被配置为提取区块链上存储的可信身份信息和设备指纹信息,生成用于控制不同用户对不同设备的访问次数、访问场景、操作权限的智能合约,同时建立标识可信身份和可信设备之间对应关系的关联表;
当***接收任意用户发送的申请访问或控制设备的请求时,触发所述智能合约,验证所述请求,验证方式有强校验和弱校验,若验证通过允许用户访问或控制设备,并在访问或控制结束后,将过程数据上链;所述过程数据包括用户信息、设备信息、访问信息、操作信息以及时间戳;
其中,若验证方式为强校验,则获取实时用户人脸数据、用户输入的助记词与区块链中存储的与用户身份信息对应的用户人脸数据、助记词比对,得到比对结果;
若验证方式为弱校验,则获取用户输入的助记词与区块链中存储的与用户身份信息对应的助记词比对,得到比对结果。
9.一种区块链***,其特征在于,包括由用户端、水务物联网设备、可信身份认证节点、可信设备认证节点、操作权限配置节点、监管节点、人工核验与处理节点、操作记录回溯节点、自动核验与处理节点构成的区块链网络,所述区块链网络被配置为执行权利要求1-7中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111437167.0A CN113849796B (zh) | 2021-11-30 | 2021-11-30 | 智信水务物联网远程监测控制方法、***及区块链*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111437167.0A CN113849796B (zh) | 2021-11-30 | 2021-11-30 | 智信水务物联网远程监测控制方法、***及区块链*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113849796A CN113849796A (zh) | 2021-12-28 |
CN113849796B true CN113849796B (zh) | 2022-05-06 |
Family
ID=78982296
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111437167.0A Active CN113849796B (zh) | 2021-11-30 | 2021-11-30 | 智信水务物联网远程监测控制方法、***及区块链*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113849796B (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453415B (zh) * | 2016-12-01 | 2020-09-29 | 江苏通付盾科技有限公司 | 基于区块链的设备认证方法、认证服务器及用户设备 |
CN111723347B (zh) * | 2020-06-01 | 2023-06-06 | 清华大学 | 身份认证方法、装置、电子设备及存储介质 |
CN112738253B (zh) * | 2020-12-30 | 2023-04-25 | 北京百度网讯科技有限公司 | 基于区块链的数据处理方法、装置、设备及存储介质 |
CN113099255B (zh) * | 2021-04-01 | 2023-05-30 | 北京沃东天骏信息技术有限公司 | 数据生成方法和装置 |
CN113645196A (zh) * | 2021-07-20 | 2021-11-12 | 南京理工大学 | 一种基于区块链与边缘辅助的物联网设备认证方法及*** |
CN113506119A (zh) * | 2021-09-13 | 2021-10-15 | 深圳市创博未来科技有限公司 | 一种基于app的充电桩交易管理方法和*** |
-
2021
- 2021-11-30 CN CN202111437167.0A patent/CN113849796B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN113849796A (zh) | 2021-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107508812B (zh) | 一种工控网络数据存储方法、调用方法及*** | |
CN110795755B (zh) | 基于区块链的建筑项目场景式存证不可篡改方法及*** | |
KR102025837B1 (ko) | 블록체인 네트워크 및 이를 활용한 스마트컨트랙트가 적용된 출입통제 시스템 | |
CN113259311B (zh) | 基于区块链的去中心化身份认证*** | |
CN105099690A (zh) | 一种移动云计算环境下基于otp和用户行为的认证授权方法 | |
CN111753334B (zh) | 一种联盟链跨链数据一致性验证方法、装置和电子设备 | |
CN106302550A (zh) | 一种用于智能变电站自动化的信息安全方法及*** | |
CN112468504B (zh) | 一种基于区块链的工控网络访问控制方法 | |
CN112383535B (zh) | 哈希传递攻击行为的检测方法、装置和计算机设备 | |
CN110502889B (zh) | 登录方法、装置、计算机可读存储介质和计算机设备 | |
CN110798483A (zh) | 一种基于区块链的身份认证的方法 | |
WO2010149400A1 (de) | System und verfahren zur zuverlässigen authentisierung eines gerätes | |
CN114550353A (zh) | 变电站智能锁具控制*** | |
CN102067509A (zh) | 分布式数据存储设备 | |
CN112035896A (zh) | 一种基于交易方式的电子合同存证*** | |
CN107888548A (zh) | 一种信息验证方法及装置 | |
CN111327602B (zh) | 一种设备接入处理方法、设备及存储介质 | |
CN113849796B (zh) | 智信水务物联网远程监测控制方法、***及区块链*** | |
CN113869901B (zh) | 密钥生成方法、装置、计算机可读存储介质及计算机设备 | |
CN113676446B (zh) | 通信网络安全防误控制方法、***、电子设备及介质 | |
CN114495352A (zh) | 一种基于缴费终端身份认证管控机制的电子化解款***及方法 | |
Zhang et al. | Design and implementation of IEC61850 communication security protection scheme for smart substation based on bilinear function | |
CN101425925B (zh) | 提供数据通信认证的方法、***和设备 | |
CN113076531A (zh) | 身份认证方法、装置、计算机设备和存储介质 | |
CN117596595B (zh) | 基于光伏电力***进行安全登录的工作方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |